Commented [DK1]: Para aprender a completar este

documento consulte:

Tutorial en vdeo "Cmo comenzar el proyecto ISO 27001:

redaccin del Plan del proyecto"
http://www.iso27001standard.com/video-tutorials

[logo de la organizacin] Commented [DK2]: Se deben completar todos los campos de

este documento que estn marcados con corchetes [ ].
[nombre de la organizacin]

PLAN DEL PROYECTO

para la implementacin del Sistema de gestin de Seguridad de la
Commented [DK3]: O "Continuidad del negocio"
informacin

Cdigo: Commented [DK4]: El sistema de codificacin del documento

debe coincidir con el sistema actual de codificacin de documentos
de la organizacin. En el caso que no exista ese sistema, se puede
Versin: eliminar esta lnea.

Fecha de la versin:

Creado por:

Aprobado por:

Nivel de
confidencialidad:

2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, segn Contrato de licencia.
[nombre de la organizacin] [nivel de confidencialidad]

Historial de modificaciones
Fecha Versin Creado por Descripcin de la modificacin

10/01/2013 0.1 Dejan Kosutic Descripcin bsica del documento

Tabla de contenido
1. OBJETIVO, ALCANCE Y USUARIOS ........................................................................................................3

2. DOCUMENTOS DE REFERENCIA ...........................................................................................................3

3. PROYECTO DE IMPLEMENTACIN DEL SGSI ..........................................................................................3

3.1. OBJETIVO DEL PROYECTO.............................................................................................................................. 3

3.2. RESULTADOS DEL PROYECTO ......................................................................................................................... 3
3.3. PLAZOS ..................................................................................................................................................... 5
3.4. ORGANIZACIN DEL PROYECTO ...................................................................................................................... 5
3.4.1. Promotor del proyecto .................................................................................................................. 5
3.4.2. Gerente del proyecto..................................................................................................................... 5
3.4.3. Equipo del proyecto ...................................................................................................................... 6

CUADRO DE PARTICIPANTES DEL PROYECTO ................................................................................................6

3.5. PRINCIPALES RIESGOS DEL PLAN ..................................................................................................................... 6

3.6. HERRAMIENTAS PARA IMPLEMENTACIN DEL PROYECTO Y GENERACIN DE INFORMES ............................................. 6

4. GESTIN DE REGISTROS GUARDADOS EN BASE A ESTE DOCUMENTO....................................................7

5. VALIDEZ Y GESTIN DE DOCUMENTOS ................................................................................................7

Plan del proyecto para la implementacin del SGSI ver. [versin] del [fecha] Pgina 2 de 7
[SGCN]

2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, segn Contrato de licencia.
[nombre de la organizacin] [nivel de confidencialidad]

1. Objetivo, alcance y usuarios

El objetivo del Plan del proyecto es definir claramente el propsito del proyecto de implementacin
del Sistema de Gestin de Seguridad de la Informacin (SGSI), los documentos que se redactarn, los Commented [DK5]: O "Sistema de Gestin de la Continuidad
del Negocio (SGCN)"
plazos y las funciones y responsabilidades del proyecto.

El Plan del proyecto se aplica a todas las actividades realizadas en el proyecto de implementacin del
SGSI. Commented [DK6]: o SGCN

Los usuarios de este documento son los miembros de la [alta direccin] y los miembros del equipo
del proyecto.

2. Documentos de referencia
Norma ISO/IEC 27001
Norma ISO 22301
Norma BS 25999-2
[decisin u otro documento similar que establezca el lanzamiento del proyecto] Commented [DK7]: Incluir solamente si existe un documento
de este tipo.
[metodologa para la gestin del proyecto]
Commented [DK8]: Incluir solamente si existe un documento
de este tipo; en ese caso, este Plan del proyecto debe estar en lnea
con la metodologa.

3. Proyecto de implementacin del SGSI Commented [DK9]: o SGCN

3.1. Objetivo del proyecto

Para implementar el Sistema de Gestin de Seguridad de la Informacin en conformidad con la Commented [DK10]: O "Continuidad del negocio"
norma ISO 27001, a ms tardar, hasta el [fecha]. Commented [DK11]: O ISO 22301/BS 25999-2

3.2. Resultados del proyecto

Durante el proyecto de implementacin del SGSI, se redactarn los siguientes documentos (algunos Commented [DK12]: Borrar todo este prrafo si el proyecto se
refiere slo a gestin de continuidad del negocio.
de los cuales contienen apndices no mencionados aqu en forma expresa):
Procedimiento para control de documentos y registros: procedimiento que establece las
reglas bsicas para la redaccin, aprobacin, distribucin y actualizacin de documentos y
registros.
Procedimiento para identificacin de requisitos: procedimiento para identificar obligaciones
legales, normativas, contractuales y de otra ndole.
Alcance del Sistema de Gestin de Seguridad de la Informacin: un documento que define
en forma precisa los activos, ubicaciones, tecnologa, etc. que forman parte del alcance.
Poltica de seguridad de la informacin: este es un documento clave que utiliza la direccin
para controlar la gestin de la seguridad de la informacin.

Plan del proyecto para la implementacin del SGSI ver. [versin] del [fecha] Pgina 3 de 7
[SGCN]

2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, segn Contrato de licencia.
[nombre de la organizacin] [nivel de confidencialidad]

Metodologa de evaluacin y tratamiento de riesgos: describe la metodologa para

gestionar los riesgos de la informacin.
Cuadro de evaluacin de riesgos: el cuadro es el resultado de la evaluacin del valor, de las
amenazas y vulnerabilidades de los activos.
Cuadro de tratamiento de riesgos: un cuadro en el que se seleccionan los controles de
seguridad adecuados para cada riesgo inaceptable.
Informe sobre evaluacin de riesgos y tratamiento del riesgo: un documento que incluye
todos los documentos clave generados en el proceso de evaluacin y tratamiento de riesgos.
Declaracin de aplicabilidad: un documento que determina los objetivos y la aplicabilidad de
cada control establecido en el Anexo A de la norma ISO 27001.
Procedimiento para Auditora interna: define cmo se seleccionan los auditores, cmo se
redactan los programas de auditora, cmo se realizan las auditoras y cmo se informan los
resultados de las mismas.
Procedimiento para acciones correctivas: describe el proceso de implementacin para
acciones correctivas y preventivas.
Formulario para minutas de revisin por parte de la direccin: un formulario que se utiliza
para crear minutas de las reuniones que la direccin realiza para revisar la adecuacin del
SGSI.
Plan de tratamiento del riesgo: un documento que especifica los controles que se deben
implementar, quin es responsable de la implementacin, de los plazos y de los recursos.

En el Plan de tratamiento del riesgo se especifican otros documentos que deben redactarse durante
la implementacin del SGSI.

Durante el proyecto de implementacin de gestin de continuidad del negocio se redactarn los Commented [DK13]: Borrar toda esta seccin si el proyecto no
incluye la gestin de continuidad del negocio.
siguientes documentos (algunos de los cuales contienen apndices no mencionados aqu en forma
expresa):
Poltica de la gestin de continuidad del negocio: establece un marco bsico para el SGCN,
determina el alcance y las responsabilidades.
Cuestionarios de Anlisis de impactos en el negocio (AIN): anlisis de impactos cualitativos y
cuantitativos sobre el negocio, de recursos necesarios, etc.
Estrategia de continuidad del negocio: define actividades crticas, interdependencias,
objetivos de tiempo de recuperacin, estrategia para gestionar y garantizar la continuidad
del negocio, estrategia para recuperacin de recursos, estrategia para actividades crticas
individuales.
Plan de continuidad del negocio: una descripcin detallada de cmo responder ante
desastres u otras interrupciones del negocio, y cmo recuperar todas las actividades crticas.
Plan de capacitacin y concienciacin: un resumen detallado de cmo los empleados deben
ser capacitados para ejecutar tareas planificadas y de cmo se los har tomar conciencia
sobre la importancia de la continuidad del negocio.
Plan de prueba y verificacin de la continuidad del negocio: describe cmo se deben probar
y verificar los planes con el objetivo de identificar las acciones correctivas necesarias y de
mejorarlos.
Plan de mantenimiento y revisin del SGCN: un resumen detallado de cmo se deben
mantener los planes y otros documentos de SGCN para garantizar su funcionamiento ante el
caso de un interrupcin del negocio.
Plan del proyecto para la implementacin del SGSI ver. [versin] del [fecha] Pgina 4 de 7
[SGCN]

2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, segn Contrato de licencia.
[nombre de la organizacin] [nivel de confidencialidad]

Formulario de revisin post-incidente: un formulario que se utiliza para revisar la eficacia de

los planes luego de un incidente.
Commented [DK14]: Si la implementacin del SGSI no est
incluida en esta seccin, entonces se debe agregar la creacin de
3.3. Plazos los siguientes procedimientos obligatorios dentro de la
implementacin de la continuidad del negocio:
Los plazos de aceptacin de documentos individuales en el transcurso de la implementacin del SGSI - Control de documentos y registros
- Procedimiento para identificacin de requisitos
son los siguientes: - Gestin de auditora interna
Documento Plazos de aceptacin del - Gestin del Procedimiento para acciones correctivas y
preventivas
documento - Formulario para minutas de revisiones por parte de la direccin
Commented [DK15]: Durante todo el proyecto, utilice el
Calculador gratuito del tiempo de implementacin:
http://www.iso27001standard.com/en/free-tools/free-calculator-
duration-of-iso-27001-iso-22301-implementation
Commented [DK16]: Enumerar todos los documentos de la
seccin anterior relacionados al SGSI.

Los plazos de aceptacin de documentos individuales en el transcurso de la implementacin del

SGCN son los siguientes: Commented [DK17]: Borrar este texto y esta tabla si la gestin
de la continuidad del negocio no forma parte del proyecto.
Documento Plazos de aceptacin del
documento
Commented [DK18]: Enumerar todos los documentos de la
seccin anterior relacionados con la continuidad del negocio.

La presentacin final de los resultados del proyecto est prevista para el [fecha].

3.4. Organizacin del proyecto

3.4.1. Promotor del proyecto

Cada proyecto tiene asignado un "promotor", que no participa activamente en el mismo. El gerente
del proyecto del proyecto debe informar regularmente al promotor del proyecto acerca del estado
del mismo; ste interviene si el proyecto est paralizado.

El [nombre, cargo] ha sido designado promotor del proyecto. Commented [DK19]: Lo mejor sera que esta persona
pertenezca a la alta direccin

3.4.2. Gerente del proyecto

La funcin del gerente del proyecto es coordinar el proyecto, garantizar los recursos necesarios para
su implementacin del proyecto, informar al promotor sobre el progreso del proyecto y realizar

Plan del proyecto para la implementacin del SGSI ver. [versin] del [fecha] Pgina 5 de 7
[SGCN]

2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, segn Contrato de licencia.
[nombre de la organizacin] [nivel de confidencialidad]

trabajos administrativos relacionados con el mismo. La autoridad del gerente del proyecto debe ser
tal que garantice la implementacin ininterrumpida del proyecto dentro de los plazos establecidos.

El [nombre, cargo] ha sido designado gerente del proyecto. Commented [DK20]: Generalmente se trata de una persona
responsable de la seguridad de la informacin (por ej., el Gerente
de seguridad) o de la continuidad del negocio (por ej. un
3.4.3. Equipo del proyecto Coordinador de continuidad del negocio)
Commented [DK21]: En el caso de organizaciones ms
La funcin del equipo del proyecto es ayudar en diversos aspectos de la implementacin del pequeas que no necesitan designar un equipo para el proyecto, se
proyecto, realizar tareas preestablecidas y tomar decisiones sobre diversos temas que requieren un puede borrar este punto.
enfoque multidisciplinario. El equipo del proyecto se rene antes de completar cada versin final de
un documento de la seccin 2 de este Plan del proyecto y, en otros casos, cuando el gerente del
proyecto lo considere necesario.

Cuadro de participantes del proyecto

Nombre Unidad organizativa Cargo Telfono Correo electrnico

3.5. Principales riesgos del plan

Los principales riesgos en la implementacin del proyecto son los siguientes: Commented [DK22]: Modificar en concordancia con los riesgos
1. Extensin de los plazos en la fase de evaluacin de riesgos. evaluados.

2. Extensin de los plazos durante el desarrollo de los planes de continuidad del negocio.
3. Realizacin de actividades que producen gastos innecesarios y prdidas de tiempo.
4. Seleccin de demasiados controles y/o muy caros.

Algunas medidas para reducir los riesgos mencionados anteriormente son las siguientes: Commented [DK23]: Modificar de acuerdo a la experiencia
El gerente del proyecto supervisa que todas las actividades del proyecto sean realizadas sobre proyectos anteriores.

dentro de los plazos definidos y solicita a tiempo la intervencin del promotor del proyecto.
Contratacin de un consultor que asegure que los tiempos y los recursos no sean utilizados
en actividades que no son importantes para el proyecto y que las actividades individuales no
sean encaminadas en una direccin incorrecta.
Contratacin de un consultor que proponga los controles ms rentables.

3.6. Herramientas para implementacin del proyecto y generacin de informes

Se crear, en la red local, una carpeta compartida que incluya todos los documentos generados
durante el proyecto. Todos los miembros del equipo del proyecto tendrn acceso a esos
documentos. Slo el gerente del proyecto [y miembros del equipo del proyecto] estarn autorizados Commented [DK24]: Adaptar al proceso estndar de
a realizar modificaciones y a borrar archivos. implementacin del proyecto de la organizacin.

El gerente del proyecto elaborar mensualmente un informe sobre la implementacin del proyecto y
se lo enviar al promotor del proyecto. Commented [DK25]: Eliminar si se considera innecesario.

Plan del proyecto para la implementacin del SGSI ver. [versin] del [fecha] Pgina 6 de 7
[SGCN]

2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, segn Contrato de licencia.
[nombre de la organizacin] [nivel de confidencialidad]

4. Gestin de registros guardados en base a este documento

Nombre del registro Ubicacin de Persona Controles para la proteccin Tiempo de
archivo responsable del del registro retencin
archivo
Informe de Carpeta Gerente del Slo el gerente del Los informes
implementacin compartida proyecto proyecto est autorizado son
del proyecto (en para actividades a editar datos almacenados
formato relacionadas por el plazo
electrnico) con el proyecto de 3 aos.

5. Validez y gestin de documentos

Este documento es vlido hasta el [fecha].

El propietario de este documento es el [cargo].

Al evaluar la efectividad y adecuacin de este documento, es necesario tener en cuenta los

siguientes criterios:

Si todos los empleados involucrados en el proyecto realizan sus actividades en conformidad

con este documento.
Si se cumplen todos los plazos del proyecto.

[cargo]
[nombre]

_________________________
[firma] Commented [DK26]: Slo es necesario si el Procedimiento
para control de documentos y registros establece que los
documentos en papel deben ser firmados.

Plan del proyecto para la implementacin del SGSI ver. [versin] del [fecha] Pgina 7 de 7
[SGCN]

2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, segn Contrato de licencia.